Mr.Dark
Активный пользователь
- Регистрация
- 01.06.2025
- Сообщения
- 8 072
- Реакции
- 6 980
- Баллы
- 113
Оборотные штрафы за утечки ПДн 2026: 420-ФЗ и КоАП 13.11
Статья Оборотные штрафы за утечку персональных данных 2026: полный разбор для ИБ-специалиста
Понедельник, 9:15 утра. DLP фиксирует аномальную выгрузку — 50 000 записей с ФИО, паспортами и адресами ушли на внешний хост. В этот момент запускается юридический таймер: 24 часа на первичное уведомление Роскомнадзора, 72 часа на детальный отчёт. А параллельно — калькулятор штрафа, который с 30 мая 2025 года считает в процентах от годовой выручки.
Федеральный закон № 420-ФЗ от 30 ноября 2024 года переписал правила игры. Раньше утечка миллионной клиентской базы грозила компании штрафом до 100 000 рублей — строка в бюджете на канцелярию. Сейчас суммы такие, что могут обрушить операционку среднего бизнеса. По данным портала «Гарант», в марте 2026 года назначены первые реальные штрафы за крупные утечки по новым нормам.
Я прошёл через несколько расследований инцидентов с утечками ПДн — заполнял уведомления по форме Приказа № 178, настраивал политики InfoWatch и Solar Dozor, а потом объяснял юристам, почему конкретный инцидент квалифицируется как утечка в смысле статьи 13.11 КоАП, а не просто «технический сбой». Тут — полный разбор новых правил: от конкретных цифр до пошагового incident response, выстроенного на реальной практике.
Что изменилось в КоАП 13.11: три уровня ответственности за утечки ПДн
Закон 420-ФЗ перестроил статью 13.11 КоАП РФ и ввёл трёхуровневую систему санкций. Старая логика — фиксированный штраф вне зависимости от масштаба — умерла. Новая привязывает размер санкции к трём параметрам: количество пострадавших субъектов, повторность нарушения, поведение оператора после инцидента.
Ключевое изменение: появилось понятие «утечка» как отдельный квалифицирующий признак. Раньше КоАП оперировал категорией «нарушение порядка обработки персональных данных» — расплывчатая формулировка, под которую подпадало всё, от кривой политики конфиденциальности до реальной компрометации базы. Теперь утечка — отдельный состав, с собственной шкалой наказаний.
Штрафы за первичную утечку данных: конкретные цифры
Первичная утечка — первый зафиксированный инцидент у оператора. Размер штрафа зависит от количества субъектов ПДн, чьи данные скомпрометированы. По данным acsour и КонсультантПлюс, штрафы для юрлиц при первичной утечке:
Для понимания масштаба: до 420-ФЗ максимальный штраф за аналогичное нарушение для юрлица составлял 100 000 рублей. Рост — до 150 раз.
Нюанс, который мои коллеги-юристы часто упускают: количество субъектов считается не по записям в базе, а по уникальным физическим лицам. Если в утёкшей базе один человек фигурирует тремя записями (разные телефоны, разные адреса) — это один субъект, а не три. На практике при составлении отчёта об инциденте нужна дедупликация, и её результат напрямую влияет на размер штрафа.
Оборотные штрафы за повторные утечки персональных данных
Тут начинается другой порядок чисел. По данным DLA Piper, при повторной утечке штраф составляет от 0,1 до 3% совокупной годовой выручки оператора. Границы жёсткие: минимум — 20 000 000 рублей, даже если 1% от выручки меньше. Потолок — 500 000 000 рублей.
Слово «повторная» здесь юридически значимо. Повторность фиксируется, если оператор уже привлекался за утечку и новый инцидент произошёл до истечения года с момента исполнения постановления. Простой пример: компания заплатила штраф за первую утечку в январе 2026-го, вторая утечка случилась в ноябре 2026-го — всё, это повторное нарушение, включается оборотная формула.
Санкции за неуведомление Роскомнадзора об утечке
Отдельная линия ответственности — за молчание. Статья 13.11 КоАП в редакции 420-ФЗ устанавливает штрафы за неуведомление или несвоевременное уведомление РКН об утечке. По данным КонсультантПлюс, для ИП и компаний — от 1 до 3 миллионов рублей, для должностных лиц госорганов — от 400 до 800 тысяч рублей.
На практике это создаёт знакомый мне парадокс: компания узнаёт об утечке, но тянет с уведомлением, надеясь «разобраться тихо». В итоге к штрафу за саму утечку добавляется штраф за несвоевременное уведомление. Двойной удар, которого можно было избежать одним звонком юристу в первый час.
Сводная таблица ключевых штрафов
Как рассчитать оборотный штраф: формула и реальные сценарии
Формула арифметически проста, но экономически коварна. Суд определяет процент в диапазоне от 0,1 до 3% от совокупной годовой выручки за календарный год, предшествующий году правонарушения. Если получилось меньше 20 миллионов — штраф всё равно 20 миллионов. Больше 500 миллионов — срезается до потолка.
Сценарий 1: выручка 500 миллионов рублей (средний e-commerce или региональная сеть клиник). Повторная утечка 30 000 записей пациентов.
→ Итоговый штраф: 20 000 000 рублей.
Сценарий 2: выручка 5 миллиардов рублей (крупный ритейлер или банк).
→ Итоговый диапазон: от 20 до 150 миллионов рублей.
Сценарий 3: выручка 30 миллиардов рублей (федеральный оператор).
→ Итоговый диапазон: от 30 до 500 миллионов рублей.
Incident response при утечке персональных данных: 24 часа, которые решают всё
Хронология действий
Час 0–1. Обнаружение и фиксация
SIEM или DLP фиксирует инцидент. Первое действие — зафиксировать доказательную базу.
Час 1–6. Классификация и оценка масштаба
Определяем количество субъектов, категории данных и вектор утечки. Обязательно подключить юриста сразу.
Час 6–24. Первичное уведомление Роскомнадзора (через портал РКН).
Час 24–72. Детальный отчёт.
Что писать в уведомлении (Приказ № 178)
Типичные ошибки: размытые формулировки, отсутствие дедупликации, позднее уведомление.
Статья Оборотные штрафы за утечку персональных данных 2026: полный разбор для ИБ-специалиста
Понедельник, 9:15 утра. DLP фиксирует аномальную выгрузку — 50 000 записей с ФИО, паспортами и адресами ушли на внешний хост. В этот момент запускается юридический таймер: 24 часа на первичное уведомление Роскомнадзора, 72 часа на детальный отчёт. А параллельно — калькулятор штрафа, который с 30 мая 2025 года считает в процентах от годовой выручки.
Федеральный закон № 420-ФЗ от 30 ноября 2024 года переписал правила игры. Раньше утечка миллионной клиентской базы грозила компании штрафом до 100 000 рублей — строка в бюджете на канцелярию. Сейчас суммы такие, что могут обрушить операционку среднего бизнеса. По данным портала «Гарант», в марте 2026 года назначены первые реальные штрафы за крупные утечки по новым нормам.
Я прошёл через несколько расследований инцидентов с утечками ПДн — заполнял уведомления по форме Приказа № 178, настраивал политики InfoWatch и Solar Dozor, а потом объяснял юристам, почему конкретный инцидент квалифицируется как утечка в смысле статьи 13.11 КоАП, а не просто «технический сбой». Тут — полный разбор новых правил: от конкретных цифр до пошагового incident response, выстроенного на реальной практике.
Что изменилось в КоАП 13.11: три уровня ответственности за утечки ПДн
Закон 420-ФЗ перестроил статью 13.11 КоАП РФ и ввёл трёхуровневую систему санкций. Старая логика — фиксированный штраф вне зависимости от масштаба — умерла. Новая привязывает размер санкции к трём параметрам: количество пострадавших субъектов, повторность нарушения, поведение оператора после инцидента.
Ключевое изменение: появилось понятие «утечка» как отдельный квалифицирующий признак. Раньше КоАП оперировал категорией «нарушение порядка обработки персональных данных» — расплывчатая формулировка, под которую подпадало всё, от кривой политики конфиденциальности до реальной компрометации базы. Теперь утечка — отдельный состав, с собственной шкалой наказаний.
Штрафы за первичную утечку данных: конкретные цифры
Первичная утечка — первый зафиксированный инцидент у оператора. Размер штрафа зависит от количества субъектов ПДн, чьи данные скомпрометированы. По данным acsour и КонсультантПлюс, штрафы для юрлиц при первичной утечке:
- Утечка данных 1 000–10 000 субъектов (ч. 12 ст. 13.11) — от 3 до 5 млн руб.
- От 10 000 до 100 000 субъектов (ч. 13) — от 5 до 10 млн руб.
- Свыше 100 000 субъектов (ч. 14) — от 10 до 15 млн руб.
Для понимания масштаба: до 420-ФЗ максимальный штраф за аналогичное нарушение для юрлица составлял 100 000 рублей. Рост — до 150 раз.
Нюанс, который мои коллеги-юристы часто упускают: количество субъектов считается не по записям в базе, а по уникальным физическим лицам. Если в утёкшей базе один человек фигурирует тремя записями (разные телефоны, разные адреса) — это один субъект, а не три. На практике при составлении отчёта об инциденте нужна дедупликация, и её результат напрямую влияет на размер штрафа.
Оборотные штрафы за повторные утечки персональных данных
Тут начинается другой порядок чисел. По данным DLA Piper, при повторной утечке штраф составляет от 0,1 до 3% совокупной годовой выручки оператора. Границы жёсткие: минимум — 20 000 000 рублей, даже если 1% от выручки меньше. Потолок — 500 000 000 рублей.
Слово «повторная» здесь юридически значимо. Повторность фиксируется, если оператор уже привлекался за утечку и новый инцидент произошёл до истечения года с момента исполнения постановления. Простой пример: компания заплатила штраф за первую утечку в январе 2026-го, вторая утечка случилась в ноябре 2026-го — всё, это повторное нарушение, включается оборотная формула.
Санкции за неуведомление Роскомнадзора об утечке
Отдельная линия ответственности — за молчание. Статья 13.11 КоАП в редакции 420-ФЗ устанавливает штрафы за неуведомление или несвоевременное уведомление РКН об утечке. По данным КонсультантПлюс, для ИП и компаний — от 1 до 3 миллионов рублей, для должностных лиц госорганов — от 400 до 800 тысяч рублей.
На практике это создаёт знакомый мне парадокс: компания узнаёт об утечке, но тянет с уведомлением, надеясь «разобраться тихо». В итоге к штрафу за саму утечку добавляется штраф за несвоевременное уведомление. Двойной удар, которого можно было избежать одним звонком юристу в первый час.
Сводная таблица ключевых штрафов
| Нарушение | Юрлица / ИП | Должностные лица |
| Первичная утечка (масштабная) | до 15 000 000 руб. | до 800 000 руб. |
| Повторная утечка (оборотный штраф) | 0,1–3% выручки (мин. 20 млн, макс. 500 млн) | - |
| Неуведомление РКН | 1 000 000 – 3 000 000 руб. | 400 000 – 800 000 руб. |
Как рассчитать оборотный штраф: формула и реальные сценарии
Формула арифметически проста, но экономически коварна. Суд определяет процент в диапазоне от 0,1 до 3% от совокупной годовой выручки за календарный год, предшествующий году правонарушения. Если получилось меньше 20 миллионов — штраф всё равно 20 миллионов. Больше 500 миллионов — срезается до потолка.
Сценарий 1: выручка 500 миллионов рублей (средний e-commerce или региональная сеть клиник). Повторная утечка 30 000 записей пациентов.
→ Итоговый штраф: 20 000 000 рублей.
Сценарий 2: выручка 5 миллиардов рублей (крупный ритейлер или банк).
→ Итоговый диапазон: от 20 до 150 миллионов рублей.
Сценарий 3: выручка 30 миллиардов рублей (федеральный оператор).
→ Итоговый диапазон: от 30 до 500 миллионов рублей.
Incident response при утечке персональных данных: 24 часа, которые решают всё
Хронология действий
Час 0–1. Обнаружение и фиксация
SIEM или DLP фиксирует инцидент. Первое действие — зафиксировать доказательную базу.
Код:
# Экспорт логов SIEM за период инцидента (пример для ELK)
curl -X POST "localhost:9200/security-events-*/_search" \
-H 'Content-Type: application/json' \
-d '{
"query": {
"range": {
"@timestamp": {
"gte": "2026-01-15T09:00:00",
"lte": "2026-01-15T10:00:00"
}
}
},
"size": 10000
}' > incident_evidence_$(date +%Y%m%d_%H%M%S).jsonЧас 1–6. Классификация и оценка масштаба
Определяем количество субъектов, категории данных и вектор утечки. Обязательно подключить юриста сразу.
Час 6–24. Первичное уведомление Роскомнадзора (через портал РКН).
Час 24–72. Детальный отчёт.
Что писать в уведомлении (Приказ № 178)
- Дата и время обнаружения (точный таймстемп).
- Предварительная оценка количества субъектов.
- Категории данных.
- Предполагаемый вектор.
- Принятые меры.
- Контактное лицо.
Типичные ошибки: размытые формулировки, отсутствие дедупликации, позднее уведомление.
